LE RISQUE

2

"Risque" selon ISO ISO Guide 73, Management du risque – Vocabulaire

2002 "Combinaison de la probabilité d’un événement et de ses conséquences"

2009 "Effet de l'incertitude sur l'atteinte des objectifs"

– Un effet = un écart, positif ou négatif, par rapport à une attente

– Un risque est souvent exprimé en termes

• des conséquences d'un événement et

• de sa vraisemblance ["likelihood"]

3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire

ISO Guide 73:2009, Management du risque - Vocabulaire

Types de risques liés à l'informatique

Source : ISACA (2009), "The Risk IT Framework", Figure 2

ou ISACA (2014), "COBIT 5 for Risk", Figure 5

Opportunités d'apporter de la valeur

Risques des projets

Risques opérationnels

4

Menace Vulnérabilité

Faiblesse dans une défense

Conséquences Impacts sur les actifs

Défenses en profondeur

Le modèle du « fromage suisse » "Swiss cheese model"

Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5

LE MANAGEMENT DES RISQUES

6

Normes de management des risques Evolution

BS 7799-3 :2006

EBIOS 19972004 OCTAVE 19992007 et d'autres influences

ISO 31000 :2009

AS/NZS 4360 :1995 :2004

ISO Guide 73 :2002 :2009

Vocabulaire

ISO 27005 :2011

ISO 13335-1 :2004

ISO 13335-3 :1998

ISO 13335-4 :2000

ISO 27005 :2008

Gestion des risques (entreprise)

Gestion des risques (sécurité de

l'information)

7

Management des risques Le processus selon ISO 31000:2009 (et ISO 27005:2011)

Source : ISO 31000:2009, Management du risque — Principes et lignes directrices

Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8

Etablissement du contexte

" ... définition

du domaine d'application ainsi que

des critères de risque ..."

Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9

Identification du risque

"processus de recherche, de

reconnaissance et de description

des risques"

Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10

Cette étape peut faire appel à la créativité !

Identification du risque Exemple (méthode CORAS) : Identification des scénarios de risque

11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"

Identification du risque Exemple (méthode CORAS) : Identification des vulnérabilités

12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"

Analyse du risque

• Vraisemblance

• Conséquence(s)

"comprendre la nature d'un risque et

... déterminer le niveau de risque"

Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13

Co

nséq

uen

ce

Critique

Majeure

Modérée

Mineure

Insignifiante

Très probable Probable Possible Négligeable

Analyse des risques Exemple : résumé de l'analyse sous forme d'une matrice des risques

R1

R6

R2

R3 R8

R7 R4 R5

Vraisemblance

14

Peu probable

Evaluation du risque

"comparaison des résultats de

l'analyse du risque avec les critères

de risque afin de déterminer si le

risque et/ou son importance sont

acceptables ou tolérables"

Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15

Co

nséq

uen

ce

Critique

Majeure

Modérée

Mineure

Insignifiante

Très probable Probable Possible Peu probable Négligeable

Evaluation des risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques

Vraisemblance

R1

R6

R2

R3 R8

R7 R4 R5

= Priorité 1

= Priorité 2

= Acceptable

16

Traitement du risque

"processus destiné à modifier un risque"

Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17

Traitement du risque

Choix de la stratégie de traitement

Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18

Traitement du risque

Acceptation du risque résiduel après réduction

Risque actuel

Risque résiduel

Réduction du risque due

au traitement

proposé

Traitement du risque

Niveau de risque "acceptable"

Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19

Traitement du risque

Acceptation du traitement

Réduction du risque = (Risque initial) – (Risque résiduel)

Coût du traitement proposé

20

>

Principe de proportionnalité

Plan de traitement des risques Exemple

Action A

2016

A+1

2017

A+2

2018

Coûts

(mandats,

achats)

Effort

métier

Effort administratif

DSI

Effort technique

DSI

Délai

1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016

2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016

3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016

4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016

5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an

10 jh/an 06.2016

6. Mettre sur pied un programme de sensibilisation

InfoSéc internalisé

15kFr 5 jh + 1 jh/an

5 jh + 10 jh/an

- 12.2016

7. Approfondir l'analyse BIA

(pré-requis pour la démarche DRP)

15kFr 10 jh 10 jh - 04.2017

etc. etc. etc.

21

Le processus est itératif !

Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22

RÉFÉRENCES

23

Informatique Sécurité de l'info, Sécurité informatique

Management du risque

Entreprise ISO 31000 COSO ERM

•Risk IT + COBIT 4.1 •COBIT 5 for Risk

•ISO 27005 •OCTAVE family

•EBIOS, MEHARI •CORAS •ENISA •CPI-RISC

Développement STRIDE, DREAD, ...

Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500

• Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014

Bonnes pratiques •ITIL, ... •ISO 27002

Certification •ISO 20000, ... •ISO 27001

Quelques méthodes et normes

24

Références

Vocabulaire ISO

Les normes sont payantes, mais un extrait – contenant toutes les définitions

des termes – peut être consulté gratuitement ici :

• ISO Guide 73 Management du risque – Vocabulaire

– https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr

• ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue

d'ensemble et vocabulaire

– https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr

25

Références

Méthodes simples

• Méthode d'ENISA (European Union Agency for Network and Information Security)

– http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-

management-inventory/files/deliverables [Documentation complète en français, anglais, etc.]

• CORAS - méthode et outil graphique

– http://coras.sourceforge.net/

– Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS

Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method :

http://www.springer.com/cda/content/document/cda_downloaddocument/978364

2123221-c3.pdf [Documentation complète, en anglais]

• OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE"

– http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais]

• CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité

– http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais]

26